Trendbericht: Cybersecurity in der Prozessindustrie

Freitagmorgen, 7:30 Uhr. In einem mittelständischen Chemiewerk im Rheinland steht der Betriebsleiter vor seinem Automatisierungsteam und fragt: „Müssen wir unsere Anlage wegen Cybersecurity umbauen?“ Die Antwort bleibt vage. Denn was gestern noch Stand der Technik war, steht heute auf dem Prüfstand – ausgelöst durch zwei neue EU-Regelwerke, die in der Prozessindustrie derzeit für Unruhe sorgen: der Cyber Resilience Act (CRA) und die überarbeitete NIS-Richtlinie (NIS II).

Die Realität: Leitsysteme mit eingeschränkter Update-Fähigkeit, lange Vertragslaufzeiten mit OEMs, begrenzte Transparenz in der Lieferkette. Die neue Regulierung aber fordert Sicherheitsnachweise, Patchmanagement und CE-Kennzeichnungen für digitale Komponenten. Und zwar bald. Der Druck steigt – und mit ihm die Unsicherheit in den Betrieben.

CRA und NIS II im Überblick

Der CRA ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedstaaten. Die finale Fassung wurde am 12. März 2024 veröffentlicht und trat am 11. Mai 2024 in Kraft. Die ersten Pflichten greifen gestaffelt:

• ab 17. Januar 2026: Meldepflichten für ausgenutzte Schwachstellen und Sicherheitsvorfälle,
• ab 17. Januar 2027: Pflicht zur Konformität neuer Produkte mit den Cybersecurity-Anforderungen des CRA (inkl. CE-Kennzeichnung).

Der CRA gilt für alle „Produkte mit digitalen Elementen“ – unabhängig von Branche oder Einsatzbereich. Bestandsprodukte, die vor dem Stichtag 17. Januar 2027 in Verkehr gebracht wurden, dürfen weiter betrieben werden, solange sie nicht wesentlich verändert werden.

NIS II dagegen ist eine EU-Richtlinie (2022/2555), die seit dem 16. Januar 2023 in Kraft ist und bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden musste. Deutschland hat diese Frist nicht eingehalten – ein nationales Umsetzungsgesetz wird erst Ende 2025 erwartet. NIS II verpflichtet Betreiber kritischer und wichtiger Einrichtungen zur Einführung eines Informationssicherheits-Managementsystems (ISMS), zu regelmäßigen Risikoanalysen, Incident-Management, Awareness-Trainings und Meldeprozessen. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in definierten Sektoren – darunter Chemie, Pharma, Wasser/Abwasser, Lebensmittelverarbeitung.

Bei Verstößen gegen die Vorgaben sieht NIS II empfindliche Bußgelder vor. Die Sanktionen sind gestaffelt:

• besonders wichtige Einrichtungen (kritische Bedeutung): bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes,
• wichtige Einrichtungen (hohe wirtschaftliche oder gesellschaftliche Bedeutung): bis zu 7 Mio. Euro oder 1,4 % des Umsatzes.

NIS II – Betreiberpflichten als Chance?

Für Erwin Kruschitz, Leiter des Namur-Arbeitskreises 4.18 „Automation Security“ und Vorstand der Anapur AG, ist NIS II mehr als nur lästige Pflicht. Er spricht von „Hoffnung durch NIS II“ – insbesondere durch die länderübergreifende Zusammenarbeit von Computer-Security-Incident-Response-Teams und zentralen Meldestellen. Die CSIRTs sind spezialisierte Teams, die auf Sicherheitsvorfälle im digitalen Raum reagieren – etwa bei Cyberangriffen, Malware-Infektionen oder schwerwiegenden Systemausfällen. Denn die Meldungen bieten die Chance, verwertbare Erkenntnisse für die Betreiber zu gewinnen: „Wir erwarten, dass die Behörden aus unseren Vorfallsmeldungen Informationen erzeugen, die uns helfen, unsere Betriebe zu schützen“, fordert Kruschitz.

Zugleich mahnt der OT-Security-Experte: „NIS II macht Cybersecurity zur Chefsache – mit persönlicher Verantwortlichkeit der Geschäftsführung.“ Im Extremfall seien sogar Betriebsschließungen denkbar. Besonders wichtig: die konkretisierten Betreiberpflichten nach Artikel 21 der EU-Richtlinie – etwa zu Risikoanalyse, Incident-Bewältigung, Backup/Recovery, Lieferkettensicherheit oder Multi-Faktor-Authentifizierung. Auch die möglichen Sanktionen (bis 7 Mio. Euro oder 1,4 % Umsatz) und Zusatzauflagen für „besonders wichtige Einrichtungen“ (zum Beispiel Angriffserkennung nach IT-SiG 2.0) unterstreichen den Ernst der Lage.

Realität vs. Regulierung: Wenn 30 Jahre alte Anlagen cybersicher werden sollen

Wirft man einen Blick in die Anlageninfrastruktur der europäischen Prozessindustrie, wird klar, wie gravierend das Problem ist: Viele Steuerungssysteme in der Prozessindustrie basieren noch auf Betriebssystemen wie Windows 7 oder sogar Windows XP. Letzteres ist zwar selten geworden, aber vereinzelt in abgeschotteten OT-Umgebungen noch im Einsatz, insbesondere in Altanlagen ohne Internetverbindung. Häufiger sind jedoch Windows-7-basierte HMIs oder proprietäre Systeme mit eingeschränkter Updatefähigkeit.

Retrofit ist oft technisch oder wirtschaftlich kaum realisierbar. Und obwohl CRA eigentlich nur neue Produkte betrifft, wird es auch für Brownfield-Anlagen eng, sollten diese künftig erweitert werden: Nach 2027 müssen Erweiterungen mit CRA-konformer Technik erfolgen. Einfaches „Nachbestellen“ wird damit schwierig.

Aus Sicht von Erwin Kruschitz ist der CRA ein „harter Produkthebel“: „Cybersecurity wird Teil der europäischen CE-Kennzeichnung“ – mit allen Konsequenzen: verbindliche Anforderungen an Zugriffsschutz, Updatefähigkeit, sichere Standardkonfigurationen, Protokollierung sowie Mindest-Supportdauern von fünf Jahren.“ Und: Der CRA gilt für alle Produkte mit digitalen Elementen – unabhängig von Branche oder Anlagentyp. Kruschitz hebt insbesondere die Prozesse zur Schwachstellenbehandlung hervor (Anhang I Teil II): „identifizieren, beheben, testen, offenlegen, bereitstellen“ – inklusive Pflicht zur sicheren und kostenlosen Update-Verteilung sowie Offenlegung der Software-Stückliste (SBOM).

Cybersecurity für die Industrie

Markt

Trusted Execution Environments und neue Wege zur digitalen Resilienz

Wie können Unternehmen ihre Daten schützen, ohne digitale Innovationen wie KI zu bremsen? Diese Frage stand im Zentrum des Vortrags von Kilian Glas, wissenschaftlicher Mitarbeiter am Lehrstuhl für Netzwerkarchitekturen und Dienste der TU München, auf der Packaging Machinery Conference 2025.Erfahren Sie hier mehr

Funktionale Sicherheit als Stolperstein: Warum ein „Upgrade“ oft eine komplette Re-Inbetriebnahme bedeutet

In Bestandsanlagen stellt der CRA Anlagenbetreiber vor ein großes Problem. Und Schuld ist unter anderem eine Besonderheit von Prozessanlagen: Neben der Automatisierungsstruktur verfügen diese über eigenständige Sicherheitsfunktionen („Funktionale Sicherheit“). Komponenten wie SPSen, Sensoren, Aktoren oder HMI-Systeme sind Teil eines Gesamtsystems, das genehmigungspflichtig ist und umfangreiche Validierungen durchlaufen hat. „In der IT mag ein Austausch durch ein aktuelles Produkt trivial erscheinen – in der OT hingegen ist das Gegenteil der Fall“, erklärt die Cybersecurity-Expertin Sarah Fluchs, CTO bei Admeritia: „Ein scheinbar kleiner technischer Eingriff – etwa der Ersatz einer Steuerung durch ein moderneres Modell – kann eine komplette Rezertifizierung der sicherheitsrelevanten Systeme erforderlich machen.“ In vielen Fällen bedeutet das aber auch: Es muss nicht nur eine Komponente getauscht, sondern das gesamte Automatisierungskonzept neu aufgebaut und validiert werden. „Statt ,Upgrade‘ heißt es dann de facto: Neuaufbau des Steuerungssystems.“

Hinzu kommt ein juristisches Dilemma: In vielen Betreiberverträgen ist festgelegt, dass OEMs über 30 Jahre identische Komponenten bereitstellen müssen, um Kompatibilität und Sicherheit langfristig sicherzustellen. Der CRA macht solche Vereinbarungen zunehmend obsolet: Hersteller dürfen ab dem 17. Januar 2027 keine nicht konformen Produkte mehr liefern, selbst wenn sie vertraglich dazu verpflichtet wären. Die rechtlichen und betrieblichen Spannungen sind entsprechend hoch.

Doch auch wenn es sich um kein Sicherheitssystem, sondern „nur“ um Automatisierungstechnik handelt – ein besonders umstrittener Punkt ist die Frage des Bestandsschutzes. Laut CRA dürfen Produkte, die vor dem Stichtag 11. Dezember 2027 in Verkehr gebracht wurden, weiter betrieben werden. Doch was passiert, wenn eine Anlage nur geringfügig erweitert oder ein defektes Bauteil ersetzt werden muss? Die Übergangsregelungen wirken auf dem Papier eindeutig – in der Praxis gibt es jedoch Grauzonen.

Wird durch den Tausch eines Moduls eine „wesentliche Änderung“ vorgenommen, könnten Betreiber plötzlich als „Hersteller“ im Sinne der Verordnung gelten – mit allen Pflichten der CE-Kennzeichnung und Konformitätsbewertung. Experten diskutieren, ob dies auch dann gilt, wenn das Gerät ursprünglich noch unter altem Recht beschafft wurde. Generell gilt nach deutschem Recht zwar das Rückwirkungsverbot, wonach Bestandsprodukte weiter betrieben werden dürfen, aber rechtlich öffnet sich bei Änderungen eine Grauzone.

Lieferketten und Herstellerabhängigkeit: die stille Gefahr

Viele Hersteller bereiten sich auf den CRA vor, manche kündigen jedoch Produktlinien ab, die nicht nachgerüstet werden können. „Kauft euch alte Produkte auf Vorrat, bevor sie verschwinden“, rät ein Linkedin-Kommentator ironisch. Doch das „Stockpiling“ steht im Widerspruch zu den NIS-II-Zielen, die aktuelle, sichere Technik verlangen. Betreiber sind auf ihre Zulieferer angewiesen, benötigen Sicherheitszertifikate und Software-Stücklisten (Software Bill of Materials, SBOM), müssen aber auch mit erhöhtem Aufwand für Analyse und Dokumentation rechnen.

Erwin Kruschitz plädiert hier für eine stärkere Verzahnung von Security und Safety. Er verortet Cybersecurity explizit im bestehenden Regelwerk funktionaler Sicherheit – etwa TRBS 1115-1, KAS 51 oder IEC 61511 – und unterstützt die BDI-Forderung, Doppel-Audits und widersprüchliche Anforderungen zwischen Safety- und Securityvorgaben zu vermeiden.

Cybersecurity für die Industrie und der Cyber Resilience Act (CRA)

Markt

Sick Industrial Cybersecurity Testcenter als Prüflabor akkreditiert

Das Sick Industrial Cybersecurity Testcenter (SICST) in Waldkirch wurde im Februar 2025 offiziell durch die Deutsche Akkreditierungsstelle (DAKKS) für die Norm IEC 62443-4-2 akkreditiert. Ein wichtiger Baustein bei der Umsetzung des Cyber Resilience Act (CRA).Mehr dazu hier

Zwischen Systemzwang und Umsetzungsdruck

In der Fachwelt herrscht weitgehende Einigkeit darüber, dass es sich bei den aktuellen Herausforderungen nicht um ein temporäres Problem handelt. Die langen Lebenszyklen von OT-Systemen machen schnelle Anpassungen schwierig, und viele Unternehmen sehen sich einem festen Stichtag (Januar 2027) gegenüber, der kaum Spielraum für Verzögerungen lässt. Ohne rechtzeitige Abstimmung zwischen Herstellern, Betreibern und Regulierungsbehörden drohen erhebliche Umsetzungsprobleme – bis hin zu Inkompatibilitäten im Anlagenbetrieb. Gleichzeitig wächst der Druck auf die Geschäftsleitungen, da Cybersecurity im Zuge von NIS II zunehmend als Bestandteil des Arbeitsschutzes verstanden wird. Besonders im industriellen Mittelstand stellt sich vielfach die Frage, wie all diese Anforderungen parallel zum laufenden Betrieb bewältigt werden können.

Fazit: Strukturierte Umsetzung statt Aktionismus

Die Anforderungen aus NIS II und dem CRA bringen spürbare Veränderungen mit sich – organisatorisch, technisch und strategisch. Gerade für mittelständische Betreiber in der Prozessindustrie ist die Umsetzung kein Selbstläufer. Doch mit einer realistischen Bestandsaufnahme, klarer Priorisierung und gezielter Zusammenarbeit mit Herstellern und Verbänden lässt sich der Anpassungsprozess schrittweise gestalten. Unterstützungsangebote von BSI, Branchennetzwerken und Normungsgremien stehen bereit. Entscheidend ist, frühzeitig aktiv zu werden – nicht zuletzt, um langfristig handlungsfähig zu bleiben und regulatorische wie betriebliche Risiken zu minimieren.